Как сделать продажу файлов на PHP?

Question

[Aqulus]

Делаю магазин дополнений(ZIP архивы) и возник вопрос. А как сделать так, чтобы файл нельзя было вытянуть по прямой ссылке и выдавать по какому-то хешу? И еще проблема в том, что оригинальные файлы архивов должны присутствовать, так как через них происходит вшивание лицензионного кода, а уже после - отдавать на скачивание тому, кто купил и чтобы у пользователя, не работала ссылка на скачивание, если она не его

Answer 1

[Сергей delphinpro]

Все файлы складываете в недоступное из web место.
Даже на шаред хостингах у вас есть домашняя директория, в которой расположен каталог public_html, в котором уже лежит ваш сайт. Вот на одном уровне с public_html, в домашнем каталоге создайте папку files и складывайте туда.

Далее генерируете пользователю ссылку вида
https://mysite.ru/download/sadlflksdjfkj
Hash кладете в табличку в бд и устанавливаете время жизни, связываете ее с зарегистрированным пользователем и нужным файлом.
Регистрируете в приложении маршрут
'/download/{hash}'
в обработчите маршрута получаете это хэш, ищете в базе запись с ним. Проверяете, не истекло ли время жизни, тот ли пользователь ее открыл, и если все норм, с помощью readfile отдаете нужный файл на скачивание.

Comments

[Dmitry Bay]

При этом полезно изменить время создания и изменения для всех файлов внутри архива...

Answer 2

[mletov]

Можно хранить файлы в базе или физически на диске выше уровня корня, чтобы нельзя было подобрать прямой url.

Отдавать файл через экшен контроллера.
В экшене контроллера проверять права на доступ и в зависимости от результатов выдавать либо файл, либо фигу.

Отдавать либо авторизованным пользователям с правами, либо по хэшу, но с ограниченным сроком действия ссылки.

Comments

[Aqulus]

Есть пример, как реализовать хранение zip архивов в бд?

[mletov]

Aqulus,

не конкретно zip архивов, а вообще любых файлов, они ж в BINARY хранятся.
https://habr.com/ru/articles/45966/

Но вы подумайте, как лучше для производительности, прикиньте размеры. Если архивов много и они большие - будут тормоза, возможно, вариант с хранением на диске выше уровня корня лучше, от реализации и деталей зависит.
https://habr.com/ru/articles/81862/

[Aqulus]

mletov, Архивы весят максимум 20мб, не знаю, насколько это плохо будет

[mletov]

Aqulus, ну кладите выше уровня корня если сомневаетесь или экспериментируйте с производительностью, сравнивайте.

[Дмитрий]

Можно хранить файлы на диске, отдавать архив с паролем, делать архив временный с доступом по ссылке. Отдавать скриптом без пути

Answer 3

[ThunderCat]

файлы кладете в любое хранилище, доступное от сервера, но недоступное из веб (например на том же сервере выше документ рут). Далее код - проверки, танцы, прочее учетное непотребство, и в конце readfile() и соответствующие заголовки.

Comments

[Aqulus]

Увы, но требуется сделать всё в папке с проектом, вероятнее всего, придется реализовывать файлы в бд.

[ThunderCat]

Aqulus, то есть у вас проект лежит ВЕСЬ в документ рут???

[Aqulus]

ThunderCat, получается так

[ThunderCat]

Aqulus, жееесть... Может не стоит тогда самостоятельно заниматься коммерческим кодом?

[Сергей delphinpro]

Aqulus, это конечно дичь, но даже в этом случае конфигурацией вебсервера пожно закрыть определенные директории от доступа из вне.
В апаче это делается размещением в директории файла .htaccess с содержимым
deny from all
В nginx не знаю, но тоже вероятно можно, нужно загуглить.
А дальше все как написали выше.